近日,“磁碟機”病毒在互聯網瘋狂傳播,至今已有超過5萬余臺電腦感染病毒,病毒造成的直接和間接損失十分巨大。反病毒專家對“磁碟機”病毒進行了詳盡的 技術分析,令人感到吃驚的是,病毒竟然使用光纖接入的
服務器來升級病毒體,即使在下載量巨大的情況下,病毒升級服務器都可以瞬間完成病毒的更新。
中毒后的癥狀
反病毒專家介紹,“磁碟機”病毒是典型的驅動病毒。病毒首先利用驅動程序使部分安全軟件的監控失效,然后強行關閉目前幾乎所有安全工具軟件以及幾乎所有的殺毒軟件。
截止今日,根據現有的數據統計,“磁碟機”病毒及其變種已感染超過5萬臺電腦,被感染的電腦分布在政府、企事業等眾多單位和部門,同時也有大量的個人用戶感染病毒。“磁碟機”已經出現100多余個變種,目前病毒感染和傳播范圍正在呈現蔓延之勢。病毒造成的危害及損失十倍于“熊貓燒香”。
專家介紹, 電腦感染“磁碟機”變種病毒后,癥狀表現為運行任意程序時系統經常性死機或長時間卡住不動,病毒會以加密感染的方式感染除系統盤外的其它所有分區內的EXE文件、網頁文件、RAR和 ZIP壓縮包中的文件等。被感染的文件圖標變為16位圖標,圖標變得模糊,類似馬賽克狀。病毒一旦發現帶有符合安全工具軟件相關的窗口名存在,就會強行將其關閉,并發送洪水似垃圾消息。在所有盤符下生成“autorun.inf”和病毒程序文件體,并且會實時檢測保護這些文件。病毒會下載20余種木馬病毒,用以竊取中毒電腦中有價值的隱私信息。病毒通過十余種方式實現自我保護和避免被殺毒軟件查殺,其隱藏和自我保護技術超過以往任何同類病毒。
反毒專家認為,磁碟機病毒是近幾年以來發現的病毒技術含量最高、破壞性最強的病毒,其破壞能力、自我保護和反殺毒軟件能力均十倍于“熊貓燒香”,建議引起反病毒同行以及各大企事業單位網管員的高度重視。針對該病毒,目前國內反病毒中心已研發推出了“磁碟機”專殺和修復工具,可以強力清除目前所有的變種并有效恢復被感染的EXE文件。
服務器來升級病毒體,即使在下載量巨大的情況下,病毒升級服務器都可以瞬間完成病毒的更新。
中毒后的癥狀
反病毒專家介紹,“磁碟機”病毒是典型的驅動病毒。病毒首先利用驅動程序使部分安全軟件的監控失效,然后強行關閉目前幾乎所有安全工具軟件以及幾乎所有的殺毒軟件。
截止今日,根據現有的數據統計,“磁碟機”病毒及其變種已感染超過5萬臺電腦,被感染的電腦分布在政府、企事業等眾多單位和部門,同時也有大量的個人用戶感染病毒。“磁碟機”已經出現100多余個變種,目前病毒感染和傳播范圍正在呈現蔓延之勢。病毒造成的危害及損失十倍于“熊貓燒香”。
專家介紹, 電腦感染“磁碟機”變種病毒后,癥狀表現為運行任意程序時系統經常性死機或長時間卡住不動,病毒會以加密感染的方式感染除系統盤外的其它所有分區內的EXE文件、網頁文件、RAR和 ZIP壓縮包中的文件等。被感染的文件圖標變為16位圖標,圖標變得模糊,類似馬賽克狀。病毒一旦發現帶有符合安全工具軟件相關的窗口名存在,就會強行將其關閉,并發送洪水似垃圾消息。在所有盤符下生成“autorun.inf”和病毒程序文件體,并且會實時檢測保護這些文件。病毒會下載20余種木馬病毒,用以竊取中毒電腦中有價值的隱私信息。病毒通過十余種方式實現自我保護和避免被殺毒軟件查殺,其隱藏和自我保護技術超過以往任何同類病毒。
反毒專家認為,磁碟機病毒是近幾年以來發現的病毒技術含量最高、破壞性最強的病毒,其破壞能力、自我保護和反殺毒軟件能力均十倍于“熊貓燒香”,建議引起反病毒同行以及各大企事業單位網管員的高度重視。針對該病毒,目前國內反病毒中心已研發推出了“磁碟機”專殺和修復工具,可以強力清除目前所有的變種并有效恢復被感染的EXE文件。
#p#副標題#e#
病毒的技術分析
“磁碟機”通過一個ARP病毒在局域網中迅速傳播。在感染了該“ARP病毒”的局域網中,除了系統靜態綁定MAC地址的計算機外,其他系統所下載的所有正常EXE程序文件都變成磁碟機病毒變種,該變種文件名為“setup.exe”,系一個RAR自解壓格式的安裝包,運行后就會在用戶系統中安裝“磁碟機” 變種。
病毒會破壞注冊表,使用戶無法進入“安全模式”,以及無法查看“隱藏的系統文件”,并實時檢測保護這個被修改過的病毒選項,恢復后立即重寫。破壞注冊表,使用戶注冊表啟動項失效,導致部分通過注冊表啟動項開機運行的安全軟件就無法開機啟動運行了。修改注冊表,實現開啟自動播放的功能。防止病毒體被重定向,刪除注冊表中的IFEO進程映像劫持項。刪除組策略限制的注冊表項。
病毒通過搜索注冊表,直接強行刪除所有安全軟件的關聯注冊表項,使其無法開啟監控。利用進程守護技術將病毒的“lsass.exe”、 “smss.exe”進程主體和DLL組件進行關聯,實現進程守護。發現病毒文件被刪除或被關閉,會馬上生成重新。病毒程序以系統級權限運行,部分進程使用了進程保護技術。
病毒的自我保護和隱藏技術無所不用其極。將DLL組件會插入到系統中幾乎所有的進程中加載運行(包括系統級權限的進程)。利用了關機回寫技術,在關閉計算機時把病毒主程序體保存到[啟動]文件夾中,實現開機自啟動。系統啟動后再將“啟動”文件夾中病毒主體刪除掉。這樣可以隱蔽啟動,而不被用戶發現。
同時,為了避開殺毒軟件主動防御功能,病毒采用了反“Hips”的監控技術,為就使得部分僅通過HIPS技術實現主動防御功能的殺毒軟件失效。
病毒有自動升級功能,并有自己的光纖接入的升級服務器,即使在下載流量很大的情況下也可以瞬間升級更新病毒體。該病毒還是反向連接木馬下載器,下載列表配置文件在駭客的遠程服務器上,駭客可以隨時更新不同的病毒變種下載到被感染計算機中安裝運行。病毒會下載20種以上的木馬病毒程序,其中包括有網絡游戲盜號木馬和ARP病毒等。病毒還會通過獨占的方式訪問系統“boot.ini”和“hosts”配置文件。防止DOS級刪除病毒體和用hosts文件來屏蔽病毒的惡意網站域名地址。利用控制臺命令來設置病毒程序文件的訪問運行權限。利用“ping”命令在后臺檢測當前計算機網絡是否連通,如果連通則利用系統 “IE瀏覽器”進程在后臺與駭客服務器進程通信,這樣可以躲避部分防火墻的監控。
病毒的技術分析
“磁碟機”通過一個ARP病毒在局域網中迅速傳播。在感染了該“ARP病毒”的局域網中,除了系統靜態綁定MAC地址的計算機外,其他系統所下載的所有正常EXE程序文件都變成磁碟機病毒變種,該變種文件名為“setup.exe”,系一個RAR自解壓格式的安裝包,運行后就會在用戶系統中安裝“磁碟機” 變種。
病毒會破壞注冊表,使用戶無法進入“安全模式”,以及無法查看“隱藏的系統文件”,并實時檢測保護這個被修改過的病毒選項,恢復后立即重寫。破壞注冊表,使用戶注冊表啟動項失效,導致部分通過注冊表啟動項開機運行的安全軟件就無法開機啟動運行了。修改注冊表,實現開啟自動播放的功能。防止病毒體被重定向,刪除注冊表中的IFEO進程映像劫持項。刪除組策略限制的注冊表項。
病毒通過搜索注冊表,直接強行刪除所有安全軟件的關聯注冊表項,使其無法開啟監控。利用進程守護技術將病毒的“lsass.exe”、 “smss.exe”進程主體和DLL組件進行關聯,實現進程守護。發現病毒文件被刪除或被關閉,會馬上生成重新。病毒程序以系統級權限運行,部分進程使用了進程保護技術。
病毒的自我保護和隱藏技術無所不用其極。將DLL組件會插入到系統中幾乎所有的進程中加載運行(包括系統級權限的進程)。利用了關機回寫技術,在關閉計算機時把病毒主程序體保存到[啟動]文件夾中,實現開機自啟動。系統啟動后再將“啟動”文件夾中病毒主體刪除掉。這樣可以隱蔽啟動,而不被用戶發現。
同時,為了避開殺毒軟件主動防御功能,病毒采用了反“Hips”的監控技術,為就使得部分僅通過HIPS技術實現主動防御功能的殺毒軟件失效。
病毒有自動升級功能,并有自己的光纖接入的升級服務器,即使在下載流量很大的情況下也可以瞬間升級更新病毒體。該病毒還是反向連接木馬下載器,下載列表配置文件在駭客的遠程服務器上,駭客可以隨時更新不同的病毒變種下載到被感染計算機中安裝運行。病毒會下載20種以上的木馬病毒程序,其中包括有網絡游戲盜號木馬和ARP病毒等。病毒還會通過獨占的方式訪問系統“boot.ini”和“hosts”配置文件。防止DOS級刪除病毒體和用hosts文件來屏蔽病毒的惡意網站域名地址。利用控制臺命令來設置病毒程序文件的訪問運行權限。利用“ping”命令在后臺檢測當前計算機網絡是否連通,如果連通則利用系統 “IE瀏覽器”進程在后臺與駭客服務器進程通信,這樣可以躲避部分防火墻的監控。
